購物網站又傳個資外洩　PayEasy五千組帳號遭竊

本周又傳出網購業者有大量使用者帳號、密碼遭竊，駭客在短時間內成功破解PayEasy五千多組密碼。對此情形，安全廠商呼籲，使用者應養成定期更換密碼的習慣，並避免在多個網站使用重複的密碼。

網路購物業者康訊數位整合（PayEasy）本週一（12/10）發現，有來自中國大陸及香港的IP異常大量登入，試圖嘗試破解正確的帳號與密碼，12小時內就登入了三萬九千多次，並成功登入了5400組帳號。

PayEasy資管人員發現此情形後，就立刻以簡訊和電子郵件通知帳號被盜的使用者，並在網站上張貼資訊安全聲明，提醒使用者防範詐騙集團，也希望使用者立即變更密碼。

由於駭客測試的近四萬筆帳號中，真正是PayEasy使用者帳號的只有四成，不過在這四成中，就有三分之一成功登入，約5400多筆帳號。PayEasy總經理林坤正表示，這並非單純測試密碼的事件，精準度相當高。

他指出，駭客事前已從各個管道取得大量個人資料，包括身份證字號、電話、地址、出生年月日等，以及網站登入資料，例如帳號、密碼、交易紀錄等，進行一種「資料拼圖」，例如在A網站取得姓名、電子郵件，在B網站取得電子郵件、電話，再將這些資料拼湊起來。

此次事件並不是隨機測試的結果，而是駭客系統性的掌握了個人資料，因此即使系統有鎖IP的機制也毫無用處。一般來說，通常只要登入密碼錯誤超過三次，系統就會鎖定該IP，以避免有心人士隨機測試密碼。不過此次的駭客並沒有重複嘗試，錯了就換下一個，因此不會被鎖定，針對PayEasy會員帳號則有三分之一的機率，試一次就成功。

近數個月來，包括東森購物、博客來、金石堂網路書店等等紛紛傳出使用者個資外洩的情形，Yahoo!奇摩今天也發布新聞稿表示，近一個月來使用者申訴帳號遭盜的案件較平日多了兩成，也提醒網友不要設定過於簡單的密碼。

刑事局犯罪預防科警務正常金蘭說，由於民眾因資料外流遭騙的案件越來越多，目前刑事局正在和消保會研議，要求東森要賠償消費者受騙的損失，希望業者能對保護使用者資料更加善盡責任。

資安廠商：勤改密碼以保障網購安全
對於不斷傳出的帳號密碼遭竊事件，安全專家則建議，要強化密碼的使用觀念，才是保障帳號不被盜用的關鍵。

許多人為了方便記憶，習慣在多組帳號都設定一樣的密碼。不過這種行為非常容易遭受損失，因為一組帳號密碼遭破解，其他帳號資料也一覽無疑。因此趨勢科技資深技術顧問戴燊建議，除了在不同的地方要設不同組密碼外，也要注意密碼的複雜度，以避免輕易遭破解。

在一組密碼中的英文最好分大小寫，並混合數字、符號等等。他建議，若是擔心難以記憶，可用中文輸入的方式轉換成鍵盤上相對應的英文字母或數字，不但可提高複雜度，也方便記憶。

賽門鐵克資深技術顧問莊添發也建議，網路業者應該在註冊帳號時，就提醒使用者不要重複使用密碼，而且要定期更新密碼。另外從業者可做的防範措施來說，部署主機型防禦系統相當重要，因為可以即時監控，一偵測到有異常帳號登入的情形，就可封鎖IP。

現在許多網路業者都提供動態驗證密碼，密碼會隨機產生，使用者要手動輸入才能登入。不過安全專家認為，這種技術只能阻擋所謂的網路機器人，但無法阻擋真正的駭客。McAfee技術顧問沈志明認為，使用一次性密碼（One Time Password, OTP）才能真正防止密碼遭竊。

因為OTP會在每次登入時都顯示一個新的密碼，每次都會變更，因此能有效防範帳號被盜的疑慮。不過這項技術建置成本較高，目前在台灣以金融業較為重視，若要網站業者採用OTP，安全專家皆認為可能性較低。